ディープラーニングAIがテラバイト単位のデータから脅威を洞察し、マルウェアの検疫をおこなうHP Sure Sense

新たに発見されるマルウェアの数は、もはや一日あたり35万件を超えているといいます（GDataSecurityの「Malware 2017 Trends」より）。攻撃側もAIを使うなど、より洗練された攻撃活動を展開しています。

これを防ぐための手段として利用されているアンチウィルスソフトウェアは、既知のマルウェアリストに対して照合をおこなうシグネチャーベースのものが主流です。しかしこのような状況では、脆弱性が発見され、修正プログラムが提供・浸透する前にその脆弱性を攻撃する、いわゆる「ゼロデイ攻撃」を防ぐことは困難になっています。

急速に進化する脅威に対抗する防衛手段が求められるなか、HPが新たに提供するのがHP Sure Senseです。ディープラーニングAIを活用し、大量のマルウェア学習をもとにしたゼロデイ攻撃に対する防御を、デバイスの動作に与える影響を最小限に抑えて行う機能です。

日本HP 専務執行役員の九嶋氏はHP Sure Senseの発表において、従来のアンチウィルスとの比較研究について「シグネチャーベースのものは脅威の60％しか検出できませんでした。マシンラーニングベースのものは84％と少し良くなりますが、スキャンに非常に多くの時間がかかります。HP Sure Senseはディープラーニングにより、99％の未知の脅威を検出。1ファイルあたり20msでスキャンでき、CPU負荷も1％を実現しています」と説明しました。

シグネチャーベースのアンチウィルスは、既知の脅威に対してしかチェックをしません。最近登場しているマシンラーニングを使ったアンチウィルスがありますが、これもマルウェアの特徴を理解するための学習に時間がかかり、より新しい攻撃に対応することが難しいと言われています。また、いずれの場合も脅威の検知に時間がかかり、かつ頻繁なアップデートは避けられません。

一方HP Sure Senseは、ニューラルネットがデータセンターにおいて、1億ものファイルから人間の頭脳のように直感的に学習し、脅威を洞察していきます。そして、データセンターでテラバイト単位の元データから作られたAIモデルは、メガバイト単位のデバイス側のHP Sure Senseエージェントに凝縮されます。

デバイスにおいては、HP Sure Senseエージェントが最小限のアップデート・性能インパクトでファイルをスキャンし、マルウェアの検疫を行い防御していきます。

HP Sure Senseのスキャン、検疫のトリガーは複数あります。まず、ファイルが開かれる前、実行する前にマルウェアの脅威を特定できます（受動的脅威防止）。また、ランサムウェアなどの脅威に関連する行動も検出可能です（能動的脅威防止）。メモリにも常駐し、ハードドライブに書き込まれない脅威からも保護します（ファイルレス攻撃に対する保護）。さらに、新しいファイルを検査し、マルウェアの疑いがあるものは隔離します（ランタイム保護／フルドライブスキャン）。

従来のシグネチャ型のアンチウィルスとは防御のアプローチが異なるため、同じデバイスにおいてシグネチャ型のアンチウィルスを使っていたとしても、コンフリクトが発生しないというメリットもあります。

さらに強固なデバイスセキュリティへ
～Windows 10が提供するセキュリティ機能～